URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23528
[ Назад ]

Исходное сообщение
"ACL для ASA"

Отправлено apex2009 , 14-Фев-12 10:07 
Доброго времени суток!

Прошу помочь в правильности создания ACL на ASA для внешнего интерфейса.
Ситуация у нас такая: есть ASA, из интерфейса outside в интерфейс inside подключаются пользователи по VPN. Успешно работают и т.д. Ната на интерфейсе нет и не нужен. Т.к. он только для подключения VPN-клиентов. Сейчас руководство решило органичить доступ и отказаться от мобильных VPN-клиентов. И необходимо разрешить доступ на внешний интерфейс только определенным IP-адресам.
Вот тут у нас возникла проблема, не получается настроить ACL на ASA. На обычных роутерах работает, здесь ни как не получается. Пробовали в разных вариантах написать - типа научного тыка. Неполучается. Подскажите, пожалуйста как правильно напиписать ACL или возможно правильно прикрутить его в внешнему интерфейсу.
ACL писали его в разных направлениях, окончательный вариант:
access-list VPN extended permit ip int outside host 200.200.x.x
access-list VPN extended permit ip int outside host 200.201.x.x
Int:
access-group VPN in interface outside
Картина получается следующая: по прежнему может подключаться любой пользователь.
Что-то мы упустили существенное?



Содержание

Сообщения в этом обсуждении
"ACL для ASA"
Отправлено pyatak123 , 14-Фев-12 12:12 
>[оверквотинг удален]
> На обычных роутерах работает, здесь ни как не получается. Пробовали в
> разных вариантах написать - типа научного тыка. Неполучается. Подскажите, пожалуйста как
> правильно напиписать ACL или возможно правильно прикрутить его в внешнему интерфейсу.
> ACL писали его в разных направлениях, окончательный вариант:
> access-list VPN extended permit ip int outside host 200.200.x.x
> access-list VPN extended permit ip int outside host 200.201.x.x
> Int:
> access-group VPN in interface outside
> Картина получается следующая: по прежнему может подключаться любой пользователь.
> Что-то мы упустили существенное?

По умолчанию в ASA включена команда sysopt connection permit-vpn, которая позволяет трафику VPN обходить входящий ACL интерфейса, на котором терминируется VPN. ACL присвоенные в процессе авторизации пользователей (group policy и per-user ACL) применяются.



"ACL для ASA"
Отправлено apex2009 , 14-Фев-12 12:51 
Всем спасибо, что откликнулись.
sysopt - отключен, все равно пользователи подключаются
no sysopt connection permit-vpn

ACL действительно странный т.к. это последний вариант ACL.
Вначале действительно создали ACL вот такой:
access-list VPN ext permit udp host 200.200.х.х host 100.100.х.х eq 500
access-list VPN ext permit udp host 200.200.х.х host 100.100.х.х eq 4500
где 200.200.х.х адрес интерфейса, а 100.100.х.х адрес клиентов
поробовали:
access-list VPN ext deny udp  any host 200.200.х.х eq 500
access-list VPN ext deny udp  any host 200.200.х.х eq 4500
пробовали явно прописать:
access-list VPN extended deny ip any any
оставляли на интерфейсе только:
access-list VPN extended deny ip any any
Все равно подключаются и пинги идут.
Направлени ACL:
access-group VPN in interface outside
Может еще есть какие-то настройки, глобальные?



"ACL для ASA"
Отправлено Aleks305 , 14-Фев-12 12:16 
>[оверквотинг удален]
> На обычных роутерах работает, здесь ни как не получается. Пробовали в
> разных вариантах написать - типа научного тыка. Неполучается. Подскажите, пожалуйста как
> правильно напиписать ACL или возможно правильно прикрутить его в внешнему интерфейсу.
> ACL писали его в разных направлениях, окончательный вариант:
> access-list VPN extended permit ip int outside host 200.200.x.x
> access-list VPN extended permit ip int outside host 200.201.x.x
> Int:
> access-group VPN in interface outside
> Картина получается следующая: по прежнему может подключаться любой пользователь.
> Что-то мы упустили существенное?

то есть вам необходимо только с определенных ip разрешить подключение по vpn?
странный у Вас очень acl
я так думаю что acl должны быть следующего вида
access-list VPN extendid permit ip host 100.100.100.1 host 200.200.1.1(это ваш внешний ip для vpn) - этот acl разрешать подключаться к VPN с ip-адреса 100.100.100.1
access-list VPN extendid deny ip any host 200.200.1.1(это ваш внешний ip для vpn) - остальным запрещено подключаться
Но такой acl не очень гибкий, я бы сделал так:
access-list VPN extendid permit udp host 100.100.100.1 host 200.200.1.1 eq 500(разрешаем isakmp)
access-list VPN extendid permit udp host 100.100.100.1 host 200.200.1.1 eq 4500(разрешаем ipsec)
access-list VPN extendid deny udp  any host 200.200.1.1 eq 500 всем остальным запрещаем
access-list VPN extendid deny udp  any host 200.200.1.1 eq 4500 всем остальным запрещаем